Überprüfung der Standardvertragsklauseln
Der irische High Court bezweifelt nun, ob die EU Standardvertragsklauseln rechtmäßig sind. Nach Ansicht des Gerichtshofs steht die Vereinbarkeit der Standardvertragsklauseln mit dem Schutz der Privatsphäre und dem Schutz von personenbezogenen Daten nach der EU Grundrechte Charta in Frage. Denn in den USA fehle es an wirksamen Maßnahmen, mit denen EU-Bürger den Schutz der sie betreffenden personenbezogenen Daten in den USA begehren und durchsetzen können. Damit stellt der irische High Court auf die Argumentation des EuGH in dessen Entscheidung zu Safe Harbor ab. Es ist daher sehr wahrscheinlich, dass der EuGH auch die EU-Standardvertragsklauseln beanstanden wird.
Mögliche Auswirkungen des Urteils
Eine Unwirksamkeit der Standardvertragsklauseln hätte große Auswirkungen. Nicht nur für Facebook, sondern ebenfalls für eine Vielzahl anderer Unternehmen in Deutschland. Ein Großteil der Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln, setzen auf die EU Standardvertragsklauseln als Rechtsgrundlage. Würde diese Rechtsgrundlage für unwirksam erklärt werden, wäre es in den meisten Fällen unzulässig, personenbezogene Daten in Drittstaaten zu übermitteln.
Um diesen Datentransfer zu legitimieren, müssten dann aufwändigere Maßnahmen ergriffen werden. Zum Beispiel könnten die Betroffenen ausdrücklich in den Datentransfer einwilligen. Oder, für den konzerninternen Datentransfer, könnten verbindliche Unternehmensrichtlinien (sogenannte Binding Corporate Rules) erlassen werden. Wichtig ist, dass die Unwirksamkeit der EU-Standardvertragsklauseln nicht nur den Datentransfer in die USA, sondern in sämtliche Drittstaaten betreffen würde.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Wahrscheinlicher ist jedoch, dass der EuGH die EU-Standardvertragsklauseln zwar beanstanden wird, der EU Kommission aber Zeit für Nachbesserungen einräumen wird. So hat der EuGH im Fall des Safe Harbor Abkommens entschieden. Allerdings ist es wahrscheinlich, dass der EuGH nach den Erfahrungen mit dem EU-US Privacy Shield strengere Vorgaben für die Nachbesserungen äußern wird. Insofern hätte ein Urteil schwerwiegende Folgen für die Praxis.